Plnenie neustále sa vyvíjajúcich regulačných požiadaviek (najmä GDPR a e-IDAS) je treba chápať ako živú, komplexnú, dynamickú a neustále sa vyvíjajúcu oblasť, ktorá sa bytostne týka viac-menej každej organizácie a prakticky všetkých jej zložiek. Jednoduché riešenie, ktoré by vyriešilo všetky problémy, v tejto oblasti neexistuje. To isté platí o bezpečnostných softvérových riešeniach, ktoré už z podstaty tohto problému pokryjú vždy len určitú časť súvisiacich procesov (IAM, SIEM, DLP, Retention management tools a p.).
Z tohto dôvodu sme sa v EMARKu rozhodli ísť cestou spolupráce a v čo možno najširšom spektre pokryť potreby klientov holistickým prístupom a komplexným setom softvérových nástrojov, ktoré adekvátne pokrývajú procesy, problémy a súvisiace otázky.
Je treba si uvedomiť, že bez adekvátneho rozdelenia zdrojov a súčasne nastavenia organizačnej a procesnej štruktúry, bude každý projekt len izolovaným pokusom o „záplatu“ na práve objavený problém. Z tohto dôvodu sa na projekty tohto typu pozeráme holisticky cez Information Governance, ktorá sa na problém dát a ich transformáciu na informácie sústredí cez procesné ukotvenie, ich životný cyklus a príslušné interakcie v rámci manažmentu dát.
V EMARKu GDPR výzvu adresujeme konkrétnymi procesnými krokmi a úlohami, ktoré stoja na pilieroch preverenej BI platformy Qlik Sense a našich skúsenostiach s dátovými analýzami z viac ako 160 úspešných BI projektov. Následne, pre nastavenie politík pre úschovu a zálohu dokumentov, využívame riešenie Information Governance partnerskej firmy GlassIG a ďalších partnerov v oblasti informačnej bezpečnosti pre zabezpečenie dát.
Referencie v texte sa vzťahujú na Nariadenie európskeho parlamentu a Rady EÚ 2016/679o ochrane Fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.
S čím KONKRÉTNE vám môžeme pomôcť?
- Information Governance & Risk Management
- Súhlasy & Zhoda s nariadením (Consent & Compliance)
- Bezpečnosť
- Privacy impact assesment (PIAs)
- Big Data, výskum a plne automatizovaný proces rozhodovania
- Poradenstvo a podpora zodpovednej osoby
- Porušenie ochrany osobných údajov
1. Information Governance & Risk Management
Pomôžeme vám s nastavením Information Governance Frameworku a procesov, ktorých súčasťou sú rozhodnutia kľúčové pre GDPR (právo na prenos; právo byť zabudnutý vs. právne požiadavky pre retenčnú politiku) prostredníctvom našej partnerskej organizácie GlassIG a ich Information Governance riešenia.
Taktiež vieme pomôcť pri napájaní procesných potrieb GDPR do interného kontrolného systému prostredníctvom spolupráce s partnerskou spoločnosťou v oblasti nástroja pre Risk Management dokumentáciu, alebo sprostredkovať dátové napojenie do vašej aplikácie.
2. Súhlasy a zhoda s nariadením (Consent & Compliance)
(Články 7 a 8, odporúčanie. 42; Články 5, 24, 26, 28, 32, 33, 34, odp. 74, 77, 78, 84 – 86)
GDPR Dashboard
Pripravíme GDPR Governance & Management Dashboard (ďalej len „Dashboard“), pokrývajúci najdôležitejšie oblasti, ktoré je potrebné riadiť, sledovať a vyhodnocovať. (Dashboard môže napríklad obsahovať sledovanie či KPI vizualizácie všetkých požiadaviek, súhlasov, prevádzkovateľov, spoločných prevádzkovateľov, spracovávateľov, dôvody pre spracovávanie, výnimky, súkromné a verejné upozornenia a notifikácie, cezhraničné transfery a teritoriálne výnimky).
Súčasťou Dashboardu môže byt aj sledovanie a monitorovanie non-EÚ organizácií za účelom identifikácie, zacielenia a analýzy všetkých entít, ktoré spracovávajú osobné dáta a súvisiace zložky (vrátane všetkých potrebných informácií, ako napríklad požiadavky pre spracovávanie osobných dát; úroveň zhody s GDPR; kde sú dáta spracovávané a kým; kto má prístup k týmto dátam mimo EÚ; záležitosti súvisiace s non-EÚ entitami atď.)
Nainštalujeme a podľa konkrétnych potrieb nastavím analytickú aplikáciu EMARK Mole@, ktorá umožní vykonávať adekvátne kontroly nad manažmentom dokumentov a informačných zdrojov v nasledovných oblastiach:
Sledovanie politík, procesov, procedúr, manuálov a iných dokumentov relevantných pre GDPR
Status a referencie na GDPR zdroje
Ďalšie potrebné informácie ako lokalita a sieťové zložky, kde sa dokumenty nachádzajú; biznisový a technický vlastník; status atď.
Naše nástroje vám pomôžu poloautomaticky, teda prostredníctvom kontextového a obsahového vyhľadávania identifikovať, kde sa Vaše dáta s osobnými a citlivými údajmi nachádzajú, kto je za nich zodpovedný a ktorému oddeleniu patria (môžeme pridať využívanie umelej inteligencie a postupov „machine learning“).
Vytvoríme komplexné vizualizácie a ďalšie dashboardy, ktoré vďaka pokročilým analytickým nástrojom vám pomôžu zamerať sa na kľúčové oblasti. Napríklad podľa práv dotknutej osoby (Články 12, 15 – 23, odp. 63 – 73) – organizácie by mali byť schopné vyhľadávať, filtrovať a izolovať informácie, ktoré musia byť zhodné s právami dotknutej osoby. Firmy by tiež mali disponovať mechanizmami, ktoré sú schopné reagovať do jedného mesiaca a zvážiť či práva môžu byť priznané ako celok alebo individuálne – samoobslužne.
Máme nástroje a znalosti pre Data Lineage a Data Quality analýzy, ktoré pomôžu zodpovedať otázky ako: odkiaľ pochádzajú vaše dáta, kde sa nachádzajú, kde boli spracovávané, či aká je ich dostupnosť alebo kto k nim má prístup na čítanie, prípadne editáciu.
3. Bezpečnosť
(Článok 37 – 39, odp. 97; Článok 30, odp. 82; Článok 25, odp. 74-78, 83)
Organizácie musia preukázať, že svoje dáta majú bezpečne uložené (security and privacy by default), na čo máme v EMARKu niekoľko partnerských analytických aplikácií. Spolupracujeme napríklad so spoločnosťami a špecialistami na sieťovú bezpečnosť, oblasť DLP alebo kontroly užívateľských a administrátorských účtov.
Pripravíme špeciálny dashboard, ktorý zobrazuje prístup k osobným dátam podľa špecifických osôb, oddelení, dôvodov alebo napríklad úložísk.
Pripravíme analytickú aplikáciu, ktorá poskytuje detailný pohľad a osobné údaje uložené v IT systémoch organizácie. Aplikácia okrem iného ukáže:
Objem osobných dát uložených naprieč všetkými informačnými systémami
Vyžadovaný pseudonymizačný level dát
Úroveň synchronizácie osobných dát naprieč systémami (redundancia, osobné dáta, ktoré sú uložené bez povolenia, atd.)
Pre potrebu zodpovedného Data Protection Officer (DPO) alebo Chief information Security Officer (CISO) vieme v riešení Qlik Sense pripraviť Cybersecurity Dashboard, ktorý je schopný analyzovať a vizualizovať dáta sieťovej prevádzky a logov (FW, IDS, OS, App, network), tak aby bolo možné analyzovať tok dát naprieč celou podnikovou sieťou (vrátane zdroja a destinácie), alebo napojiť relevantné dáta na Cybersecurity Dashboard priamo zo Security Information and Event Management (SIEM) riešenia.
Podporíme vás v iniciatíve zdokumentovať a popísať uskutočnené technické a organizačné bezpečnostné opatrenia (s referenciou na ISP alebo relevantné bezpečnostné rámce a štandardy ako napríklad COBIT, ISO či NIST)
4. Privacy Impact Assesment (PIAs)
(Článok 35, odp. 84, 89 – 95; Článok 36, odp. 84)
Dashboard (spomenutý v sekcii 1) môžeme rozšíriť o aktivity, kontrolné činnosti a výsledky z PIA v organizácii pre účely Risk managementu alebo manažérskeho reportingu.
Môžeme Vás tiež podporiť aj vykonaním samotných PIA
5. Big Data, výskum a plne automatizovaný proces rozhodovania
(Článok 6, 9, 21, 22, 89; odp. 50, 65, 71, 91, 156 – 163)
Organizácie by mali dokumentovať všetky predpoklady, vplyvy a zvážené informácie a zaistiť, že využívanie osobných údajov je v súlade so znením Článku 29 (kde sú dáta využívané na sekundárne účely nad rámec vedeckého, štatistického a historického účelu). Vizualizácie v Dashboarde môžu obsahovať:
Prepojenia medzi pôvodným a sekundárnym účelom
Kontext a vzťah medzi dotknutou osobou a spracovávateľom
Povahu osobných dát
Možné následky spracovania a nesprávneho spracovania dát
Bezpečnostné opatrenia (funkčná separácia, šifrovanie, pseudonymizácia)
Zváženie dôsledkov ochrany dát
6. Poradenstvo a podpora zodpovednej osoby
(Článok 39)
Pripravíme aplikáciu pre analytické školenia, ktorá zhromaždí dáta z vybraných e-learningových systémov na monitorovanie a analýzu:
Zručností a školení potrebných pre GDPR a ostatné požiadavky
Úroveň znalostí zodpovedných osôb, zamestnancov či špecializovaného oddelenia
Aktuálnu úroveň preškolenia
Priebežný prehľad absolvovania školení vrátane začiatku a konca platnosti certifikácií
Dohľad nad školeniami biznisových a technických vlastníkov procesu
Pozn. Organizácie väčšinou využívajú interné e-learningové platformy, ktoré umožňujú exportovať excelovské súbory so statusmi.
7. Porušenie ochrany osobných údajov
(Články 33-34, odp. 85-86)
Pri kompromitácii osobných údajov zákon poskytuje 72-hodinovú lehotu na notifikáciu relevantných úradov a tiež požaduje „bez zbytočného odkladu“ upozorniť dotknuté osoby, ak nastanú vysoko rizikové okolnosti. Tiež vyžaduje, aby zodpovedná osoba v organizácii udržiavala evidenciu, kde sú zaznamenané všetky narušenia integrity osobných údajov.
Môžeme poskytnúť nástroje, ktoré dokážu vizualizovať rozhodovacie stromy v prípade porušenia bezpečnosti a ochrany osobných údajov
Môžeme poskytnúť detailné reporty z evidencie narušení integrity osobných údajov, vrátane predpripravených šablón a formulárov.